株式会社みらいワークスは4月23日、4月9日に公表した同社運営の副業と地方貢献のプラットフォーム「Skill Shift」への第三者からの不正アクセスによる一部の個人会員、企業会員およびパートナー情報流出について続報を発表した。
同社では4月6日に、運営する「Skill Shift」Webサイトへの第三者からの不正アクセスの形跡を確認、当該関連サーバをネットワークから遮断し、侵入経路と影響範囲について調査を行ったところ、当該サーバに保存された個人情報等の流出が判明しており、4月8日に外部の情報セキュリティ専門機関にフォレンジック調査とセキュリティ診断を依頼していた。
同社によると、3月19日から4月5日の間の期間に5回、悪意ある第三者が「Skill Shift」に対し不正アクセスを実行、4月5日の不正アクセスで同社が保有する情報にアクセスされたことが判明した。
外部の情報セキュリティ専門機関の調査の結果、同サイト内に流出の疑いのある情報が格納されていた領域のセキュリティ設定及び権限設定に不備があり、悪意ある第三者が不正アクセスできる状況であったことが原因。なお、当該領域以外からの情報流出がないことを確認済み。
第三者による不正アクセスで、個人会員が同サイトに登録及び掲載した情報について、サーバ内の画像データ及び各種ファイルを格納するフォルダが削除され、情報が流出した可能性がある。なお、削除されたファイル等について復旧を試みたが、完全に復旧することが不可能であると判明したという。
流出した可能性があるのは2,456人分の個人情報で、その内訳は応募時の添付ファイル(履歴書、職務経歴書、その他添付書類のうち1つ以上)が1,053人分、写真画像が1,965人分。
同社では対象の個人会員に対し、個別に連絡を行っている。
同社では再発防止策として、情報管理規程の見直しによる情報種別に応じた情報格納体制の強化や付与アカウントの精査、アクセス権限設定の見直しなどの情報の秘密管理指針の明確化、バックアップポリシー・復旧計画の策定などの保有情報のバックアップ体制の強化、内部監査体制の強化を行うとともに、サービスの運用監視体制の整備や定期的なシステムセキュリティ診断の実施、セキュリティツールを活用した監視体制の強化を行い早期検知・対処の強化に取り組む。
同社ではこれらの再発防止策を実行のもと、5月6日午後4時に同サイトを再開予定。
同社では4月6日に、運営する「Skill Shift」Webサイトへの第三者からの不正アクセスの形跡を確認、当該関連サーバをネットワークから遮断し、侵入経路と影響範囲について調査を行ったところ、当該サーバに保存された個人情報等の流出が判明しており、4月8日に外部の情報セキュリティ専門機関にフォレンジック調査とセキュリティ診断を依頼していた。
同社によると、3月19日から4月5日の間の期間に5回、悪意ある第三者が「Skill Shift」に対し不正アクセスを実行、4月5日の不正アクセスで同社が保有する情報にアクセスされたことが判明した。
外部の情報セキュリティ専門機関の調査の結果、同サイト内に流出の疑いのある情報が格納されていた領域のセキュリティ設定及び権限設定に不備があり、悪意ある第三者が不正アクセスできる状況であったことが原因。なお、当該領域以外からの情報流出がないことを確認済み。
第三者による不正アクセスで、個人会員が同サイトに登録及び掲載した情報について、サーバ内の画像データ及び各種ファイルを格納するフォルダが削除され、情報が流出した可能性がある。なお、削除されたファイル等について復旧を試みたが、完全に復旧することが不可能であると判明したという。
流出した可能性があるのは2,456人分の個人情報で、その内訳は応募時の添付ファイル(履歴書、職務経歴書、その他添付書類のうち1つ以上)が1,053人分、写真画像が1,965人分。
同社では対象の個人会員に対し、個別に連絡を行っている。
同社では再発防止策として、情報管理規程の見直しによる情報種別に応じた情報格納体制の強化や付与アカウントの精査、アクセス権限設定の見直しなどの情報の秘密管理指針の明確化、バックアップポリシー・復旧計画の策定などの保有情報のバックアップ体制の強化、内部監査体制の強化を行うとともに、サービスの運用監視体制の整備や定期的なシステムセキュリティ診断の実施、セキュリティツールを活用した監視体制の強化を行い早期検知・対処の強化に取り組む。
同社ではこれらの再発防止策を実行のもと、5月6日午後4時に同サイトを再開予定。
